I criminali informatici hanno escogitato un metodo subdolo per rubare i dati delle carte di credito dagli store online compromessi, eludendo i sistemi di controllo: in pratica, invece di inviare le informazioni delle carte a un server di presidio C2 remoto, queste vengono nascoste in un’immagine JPEG memorizzata sul sito Web stesso e prelevabile successivamente.
La scoperta della nuova tecnica di esfiltrazione dati è stata fatta dai ricercatori della società di sicurezza dei siti Web Sucuri durante alcune indagini sulla compromissione di un sito di e-commerce basato sulla versione 2 della piattaforma open source Magento.
Indice degli argomenti
Il nuovo metodo Magecart
Questo nuovo metodo di esfiltrazione dati da siti e-commerce rientra nella tipologia di attacchi noti come Magecart con i quali i criminali informatici riescono a compromettere un negozio online sfruttando una vulnerabilità della piattaforma in uso per rubare i dati delle carte di credito dei clienti durante le operazioni di pagamento.
Nella fattispecie, i ricercatori di Sucuri sono riusciti a scoprire il modus operandi della tecnica impiegata, trovando sul sito Web compromesso del codice PHP dannoso opportunamente inserito nel file Session.php presente nel path ./vendor/magento/module-customer/Model/ dello stesso portale.
L’analisi del codice ha permesso di fissare gli step principali dell’algoritmo implementato, secondo un iter logico che procede a:
- chiamare una funzione getAuthenticates per caricare il resto del codice;
- creare un file immagine in una directory dello spazio di dominio compromesso (pub / media / tmp / design / file / default_luma_logo.jpg);
- carpire i dati inviati dai clienti via POST durante la procedura di pagamento;
- memorizzare le informazioni rubate e codificate nascondendole all’interno del file immagine JPG creato.
Con questo escamotage gli attaccanti riescono, pertanto, a scaricare facilmente le informazioni come file JPG senza attivare alcun alert durante il processo, proprio perché il download di un’immagine non è un’azione riconosciuta come illecita.
Come avviene l’esfiltrazione dei dati
Gli attaccanti utilizzano lo stesso framework del CMS Magento impiegato dalle piattaforme target per acquisire con successo i dati tramessi via POST dal cliente.
In particolare, il codice PHP malevolo:
- usa la funzione Magento getPostValue per acquisire i dati della pagina di pagamento contenuti nel parametro Customer_POST;
- usa la funzione Magento isLoggedIn per controllare se la vittima che ha inviato i dati abbia effettuato l’accesso come utente e in tal caso ne acquisisce l’indirizzo e-mail;
- codifica i dati carpiti in formato base64 e XOR prima di salvarli all’interno del file immagine creato.
Conclusioni
I ricercatori, nel raccomandare agli amministratori dei siti web, come azione di mitigazione del rischio, di implementare servizi di monitoraggio e controlli d’integrità, hanno mostrato un dump degli elementi record (Customer_parameter) che possono ogniqualvolta essere rubati e successivamente codificati nel file JPG, che include tra l’altro nomi, indirizzi, dettagli delle carte e numeri di telefono.
Tutte informazioni estremamente sensibili che potrebbero essere utilizzate non solo per frodi, ma anche per campagne spam e spear phishing.